Delen via

Een nieuw Windows Server 2012 Active Directory-onder- of structuurdomein (niveau 200) installeren

In dit onderwerp wordt uitgelegd hoe u onderliggende en boomstructuurdomeinen toevoegt aan een bestaand Windows Server 2012-forest met Serverbeheer of Windows PowerShell.

Werkstroom voor Kind en Boom Domein

In het volgende diagram ziet u het configuratieproces van Active Directory Domain Services wanneer u de AD DS-rol eerder hebt geïnstalleerd en u de wizard Active Directory Domain Services-configuratie hebt gestart met Serverbeheer om een nieuw domein in een bestaand forest te maken.

diagram dat het configuratieproces van Active Directory Domain Services illustreert wanneer u de AD DS-rol eerder hebt geïnstalleerd.

Onderliggend en structuurdomein Windows PowerShell

ADDSDeployment Cmdlet Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden opgegeven met behulp van Windows PowerShell of de AD DS-configuratiewizard.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential-

-AllowDomainReinstall

-Bevestigen

-MaakDNSDelegatie

-Referentie

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Kracht

-InstallDNS-

-LogPath-

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoRebootBijVoltooiing

-ReplicationSourceDC-

-SiteName-

-SkipAutoConfigureDNS

-SYSVOLPath-

-Whatif

Notitie

Het argument -credential is alleen vereist wanneer u momenteel niet bent aangemeld als lid van de groep Ondernemingsadministrators. Het argument -NewDomainNetBIOSName is vereist als u de automatisch gegenereerde naam van 15 tekens wilt wijzigen op basis van het voorvoegsel van de DNS-domeinnaam of als de naam langer is dan 15 tekens.

Implementatie

Implementatieconfiguratie

In de volgende schermopname ziet u de opties voor het toevoegen van een onderliggend domein:

Schermopname met de opties voor het toevoegen van een onderliggend domein.

In de volgende schermopname worden de opties voor het toevoegen van een boomdomein getoond.

Schermopname met de opties voor het toevoegen van een structuurdomein.

Serverbeheer begint elke promotie van domeincontrollers met de Deployment Configuration-pagina. De resterende opties en vereiste velden worden op deze pagina en volgende pagina's gewijzigd, afhankelijk van de implementatiebewerking die u selecteert.

In dit onderwerp worden twee afzonderlijke bewerkingen gecombineerd: promotie van kinddomeinen en promotie van boomdomeinen. Het enige verschil tussen de twee bewerkingen is het domeintype dat u wilt maken. Alle andere stappen zijn identiek tussen de twee bewerkingen.

  • Als u een nieuw onderliggend domein wilt maken, klikt u op Een domein toevoegen aan een bestaand Forest en kiest u Onderliggend domein. Voor bovenliggende domeinnaamtypt of selecteert u de naam van het bovenliggende domein. Typ vervolgens de naam van het nieuwe domein in het vak Nieuwe domeinnaam. Geef een geldige subdomeinnaam met een enkel label op; de naam moet voldoen aan de DNS-domeinnaamvereisten.

  • Als u een structuurdomein binnen een bestaand bos wilt maken, klikt u op Domein toevoegen aan een bestaand bos en kiest u Structuurdomein. Typ de naam van het foresthoofddomein en typ vervolgens de naam van het nieuwe domein. Geef een geldige, volledig gekwalificeerde basisdomeinnaam op; de naam mag niet één label hebben en moet dns-domeinnaamvereisten gebruiken.

Zie Naamconventies in Active Directory voor computers, domeinen, sites en OE'svoor meer informatie over DNS-namen.

De wizard Configuratie van Active Directory-domeindiensten in Serverbeheerder vraagt u om domeininloggegevens als uw huidige inloggegevens niet van het domein zijn. Klik op Wijzigen om domeinreferenties op te geven voor de promotiebewerking.

De Deployment Configuration ADDSDeployment-cmdlet en argumenten zijn:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Opties voor domeincontroller

Schermafbeelding die de pagina Opties voor domeincontroller toont in de Active Directory Domain Services Configuration Wizard.

De domeincontrolleropties pagina geeft de domeincontrolleropties voor de nieuwe domeincontroller. De configureerbare domeincontrolleropties omvatten DNS-server en Global Catalog; u kunt de alleen-lezen domeincontroller niet configureren als de eerste domeincontroller in een nieuw domein.

Microsoft raadt aan dat alle domeincontrollers DNS- en GC-services bieden voor hoge beschikbaarheid in gedistribueerde omgevingen. GC is altijd standaard geselecteerd en DNS wordt standaard geselecteerd als het huidige domein DNS al op zijn DC's host, gebaseerd op een Start-of-Authority-query. U moet ook een domeinfunctioneringsniveau opgeven. Het standaardfunctionaliteitsniveau is Windows Server 2012 en u kunt elke andere waarde kiezen die gelijk is aan of groter is dan het huidige functionele forestniveau.

Met de domeincontrolleropties pagina kunt u ook de juiste logische Active Directory sitenaam kiezen van de forestconfiguratie. Standaard is de site met het meest juiste subnet geselecteerd. Als er slechts één site is, wordt deze automatisch geselecteerd.

Belangrijk

Als de server geen deel uitmaakt van een Active Directory-subnet en er meer dan één Active Directory-site is, is er niets geselecteerd en is de knop Volgende niet beschikbaar totdat u een site in de lijst kiest.

Het opgegeven Wachtwoord voor de Directory Services-herstelmodus moet voldoen aan het wachtwoordbeleid dat op de server is toegepast. Kies altijd een sterk, complex wachtwoord of bij voorkeur een wachtwoordzin.

De opties voor domeincontrollers ADDSDeployment-cmdlet-argumenten zijn:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Belangrijk

De sitenaam moet al bestaan wanneer deze wordt opgegeven als een waarde voor het argument sitenaam. De cmdlet install-AddsDomainController maakt geen sitenamen. U kunt de cmdlet new-adreplicationsite gebruiken om nieuwe sites te maken.

De install-ADDSDomainController cmdlet-argumenten volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven.

De werking van het argument SafeModeAdministratorPassword heeft een speciale functie.

  • Als niet wordt opgegeven als argument, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.

    Als u bijvoorbeeld een nieuw subdomein genaamd NorthAmerica wilt maken in het Contoso.com forest en daarbij gevraagd wordt een gemaskeerd wachtwoord in te voeren en te bevestigen:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child

  • Als u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.

U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Waarschuwing

Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.

U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Ten slotte kunt u het verborgen wachtwoord opslaan in een bestand en het later opnieuw gebruiken, zonder dat het wachtwoord voor duidelijke tekst ooit wordt weergegeven. Bijvoorbeeld:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Waarschuwing

Het is niet raadzaam om een duidelijk of verborgen tekstwachtwoord op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Iedereen met toegang tot het bestand kan dat verborgen wachtwoord omkeren. Met die kennis kunnen ze zich aanmelden bij een DC die is gestart in DSRM en uiteindelijk de domeincontroller zelf imiteren, waardoor hun bevoegdheden worden verhoogd naar het hoogste niveau in een AD-forest. Een extra set stappen met System.Security.Cryptography voor het versleutelen van de tekstbestandsgegevens is raadzaam, maar valt buiten het bereik. De best practice is om wachtwoordopslag volledig te voorkomen.

De ADDSDeployment-module biedt een extra optie om de automatische configuratie van DNS-clientinstellingen, doorstuurservers en hoofdhints over te slaan. Dit kan niet worden geconfigureerd wanneer u Serverbeheer gebruikt. Dit argument is alleen van belang als u de DNS Server-service al hebt geïnstalleerd voordat u de domeincontroller configureert:

-SkipAutoConfigureDNS

DNS-opties en DNS-delegatiegegevens

schermopname van de pagina DNS-opties in de wizard Active Directory Domain Services-configuratie.

Op de pagina DNS-opties kunt u alternatieve DNS-beheerdersreferenties opgeven voor delegering.

Wanneer u een nieuw domein installeert in een bestaand forest, waarbij u DNS-installatie hebt geselecteerd op de domeincontrolleropties pagina, kunt u geen opties configureren; de overdracht gebeurt automatisch en onherroepelijk. U kunt alternatieve DNS-beheerdersreferenties opgeven met rechten om die structuur bij te werken.

De DNS-opties ADDSDeployment Windows PowerShell-argumenten zijn:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Zie Understanding Zone Delegationvoor meer informatie over DNS-delegering.

Aanvullende opties

schermopname van de pagina Extra opties in de wizard Active Directory Domain Services-configuratie.

Op de pagina Aanvullende opties ziet u de NetBIOS-naam van het domein en kunt u deze overschrijven. Standaard komt de NetBIOS-domeinnaam overeen met het meest linkse label van de volledig gekwalificeerde domeinnaam die is opgegeven op de pagina Deployment Configuration. Als u bijvoorbeeld de volledig gekwalificeerde domeinnaam van corp.contoso.com hebt opgegeven, is de standaard NetBIOS-domeinnaam CORP.

Als de naam 15 tekens of minder is en niet conflicteert met een andere NetBIOS-naam, is deze ongewijzigd. Als deze conflicteert met een andere NetBIOS-naam, wordt er een getal toegevoegd aan de naam. Als de naam langer is dan 15 tekens, biedt de wizard een unieke, afgekapte suggestie. In beide gevallen valideert de wizard eerst dat de naam nog niet in gebruik is via een WINS-zoekactie en NetBIOS-uitzending.

Zie Naamconventies in Active Directory voor computers, domeinen, sites en OE'svoor meer informatie over DNS-namen.

De argumenten Install-AddsDomain volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven. De bewerking DomainNetBIOSName is speciaal:

  1. Als het argument NewDomainNetBIOSName niet is opgegeven met een NetBIOS-domeinnaam en de domeinnaam voor het voorvoegsel met één label in het argument DomainName 15 tekens of minder is, wordt de promotie voortgezet met een automatisch gegenereerde naam.

  2. Als het argument NewDomainNetBIOSName niet is opgegeven met een NetBIOS-domeinnaam en de domeinnaam met één label in het argument DomainName 16 tekens of meer is, mislukt de promotie.

  3. Als het argument NewDomainNetBIOSName wordt opgegeven met een NetBIOS-domeinnaam van 15 tekens of minder, gaat de promotie verder met die opgegeven naam.

  4. Als het argument NewDomainNetBIOSName is opgegeven met een NetBIOS-domeinnaam van 16 tekens of meer, mislukt de promotie.

Het Extra Opties ADDSDeployment-Cmdlet argument is:

-newdomainnetbiosname <string>

Paden

Schermopname die de pagina Paden toont in de configuratiewizard voor Active Directory-domeindiensten.

Met de pagina Paden kunt u de standaardmaplocaties van de AD DS-database, de transactielogboeken van de gegevensbasis en de SYSVOL-share overschrijven. De standaardlocaties bevinden zich altijd in submappen van %systemroot%.

De paden cmdlet-argumenten ADDSDeployment zijn:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Opties controleren en script weergeven

Schermopname van de pagina Controleer Opties in de Wizard Active Directory Domain Services-configuratie.

Op de pagina Opties controleren kunt u uw instellingen valideren en ervoor zorgen dat deze voldoen aan uw vereisten voordat u de installatie start. Dit is niet de laatste mogelijkheid om de installatie te stoppen bij het gebruik van Serverbeheer. Dit is gewoon een optie om uw instellingen te bevestigen voordat u doorgaat met de configuratie

De pagina Opties controleren in Serverbeheer biedt ook een optionele knop Script weergeven om een Unicode-tekstbestand aan te maken dat de huidige ADDSDeployment-configuratie in de vorm van een Windows PowerShell-script bevat. Hiermee kunt u de grafische interface serverbeheer gebruiken als een Windows PowerShell-implementatiestudio. Gebruik de wizard voor het configureren van Active Directory Domain Services om opties te configureren, de configuratie te exporteren en vervolgens de wizard te annuleren en te sluiten. Met dit proces maakt u een geldig en syntactisch correct voorbeeld voor verdere wijziging of direct gebruik. Bijvoorbeeld:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Notitie

Serverbeheer vult over het algemeen alle argumenten in met waarden bij het promoveren en is niet afhankelijk van standaardwaarden (omdat deze kunnen veranderen tussen toekomstige versies van Windows of servicepacks). De enige uitzondering hierop is het argument -safemodeadministratorpassword argument (dat opzettelijk uit het script wordt weggelaten). Als u een bevestigingsprompt wilt afdwingen, laat u de waarde weg wanneer u de cmdlet interactief uitvoert.

Gebruik het optionele argument Whatif met de cmdlet Install-ADDSForest om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten voor een cmdlet bekijken.

een nieuwe onderliggende AD- installeren

Controle van vereisten

schermopname van de pagina Controle van vereisten in de wizard Active Directory Domain Services-configuratie.

De Controle van vereisten is een nieuwe functie in AD DS-domeinconfiguratie. Deze nieuwe fase valideert dat de serverconfiguratie een nieuw AD DS-domein kan ondersteunen.

Wanneer u een nieuw foresthoofddomein installeert, roept de wizard Configuratie van Serverbeheer Active Directory Domain Services een reeks geserialiseerde modulaire tests aan. Deze tests waarschuwen u met voorgestelde herstelopties. U kunt de tests zo vaak uitvoeren als nodig is. Het proces van de domeincontroller kan pas worden voortgezet als alle vereiste tests zijn geslaagd.

De Vereistencontrole biedt ook relevante informatie, zoals beveiligingswijzigingen die invloed hebben op oudere besturingssystemen.

Zie Controle van vereistenvoor meer informatie over de specifieke vereistencontroles.

U kunt de vereiste controle niet omzeilen wanneer u Serverbeheer gebruikt, maar u kunt het proces overslaan wanneer u de cmdlet AD DS-implementatie gebruikt met het volgende argument:

-skipprechecks

Waarschuwing

Microsoft ontmoedigt het overslaan van de controle van vereisten, omdat deze kan leiden tot een gedeeltelijke promotie van domeincontrollers of beschadigde AD DS-forests.

Klik op Installeren om met de promotie van de domeincontroller te beginnen. Dit is de laatste mogelijkheid om de installatie te annuleren. U kunt het promotieproces niet annuleren zodra het begint. De computer wordt automatisch opnieuw opgestart aan het einde van de promotie, ongeacht de promotieresultaten.

Installatie

Schermopname van de installatiepagina in de wizard voor Active Directory Domain Services-configuratie.

Wanneer de pagina Installatie wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en worden naar logboeken geschreven:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Als u een nieuw Active Directory-domein wilt installeren met behulp van de module ADDSDeployment, gebruikt u de volgende cmdlet:

Install-addsdomain

Zie Windows PowerShell- kind- en boomdomein voor verplichte en optionele argumenten. De Install-addsdomain-cmdlet heeft slechts twee fasen (controle van vereisten en installatie). In de onderstaande afbeeldingen ziet u de installatiefase met de minimaal vereiste argumenten van -domaintype, -newdomainname, -parentdomainnameen -credential. Merk op hoe Install-ADDSDomain, net als Serverbeheer, u eraan herinnert dat de promotie de server automatisch opnieuw zal opstarten.

Schermopname van een terminalvenster met de installatiefase met de minimaal vereiste argumenten van -domaintype, -newdomainname, -parentdomainname en -credential.

Schermopname van een terminalvenster met de voortgang van de installatie met de minimaal vereiste argumenten van -domaintype, -newdomainname, -parentdomainname en -credential.

Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de -force of -confirm:$false argumenten met een ADDSDeployment Windows PowerShell-cmdlet. Als u wilt voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie, gebruikt u het argument -norebootoncompletion.

Waarschuwing

Het overschrijven van het opnieuw opstarten wordt niet aanbevolen. De domeincontroller moet opnieuw worden opgestart om correct te functioneren

Resultaten

Schermopname van de pagina Resultaten met het bericht dat de computer opnieuw wordt opgestart.

Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.